TP CISCO ACL SEN

Filtrage des paquets : configuration des ACL sur un routeur Cisco

1 Généralités
Ce cours ainsi que les Tp qui suivront vont vous permettre de manipuler les ACL des routeurs
Cisco. Les ACL (en anglais « Acces Control Lists ») ou en Français « Listes de Contrôle d’Accès »,
vous permettent d’établir des règles de filtrage sur les routeurs, pour régler le trafic des
datagrammes en transit.
Les ACL permettent de mettre en place un filtrage dit « statique » des datagrammes, c'est-à-
dire d’instaurer un certain nombre de règles à appliquer sur les champs concernés des en-têtes
des divers protocoles.

2 Fonctionnement des ACL

2.1 Généralités
Quelque soit le type d’ACL dont il s’agit ; leur utilisation se fait toujours selon les mêmes
principes généraux :
• Première étape : En mode « config », on crée une ACL, c'est-à-dire une liste de règles.
Chaque règle est du type (condition, action). Les règles sont interprétées
séquentiellement. Si la condition analysée ne correspond pas, on passe à la règle suivante.
Si la condition correspond, l’action correspondante est effectuée, et le parcours de l’ACL
est interrompu. Par défaut, toutes les ACL considèrent la règle (VRAI, REJET) si aucune
des règles précédentes n’a été prise en compte, c'est-à-dire que tout datagramme non
explicitement accepté par une règle préalable sera rejeté.
• Deuxième étape : En mode « config-int », on applique une ACL en entrée (in)
(respectivement en sortie(out)), c'est-à-dire que l’on décide d’activer la liste de règles
correspondante à tous les datagrammes « entrant » dans le routeur (respectivement
« sortant » du routeur) par l’interface considérée. En conséquence, sur un routeur, il peut
y avoir au maximum 2 ACLs (IP) par interface.

1/10
TP CISCO ACL SEN
Lorsque l’on construit une ACL, les règles sont ajoutées à la fin de la liste dans l’ordre dans lequel
on les saisit. On ne peut pas insérer de règle dans une ACL, ni même en supprimer … le seul moyen
reste d’effacer complètement l’ACL et de recommencer ! En situation réelle, pour saisir une ACL
assez longue, il peut être judicieux de créer un fichier texte et de le faire prendre en compte
par la suite comme un fichier de capture de configuration de routeur …

2.2 Les ACL standards

Les ACL standards n’offrent pas énormément de possibilités, elles permettent simplement de
créer des règles dont les conditions ne prennent en compte que les adresses IP sources des
datagrammes IP analysés. C’est assez contraignant, mais cela permet déjà un certain nombre de
manipulations intéressantes.
La commande pour créer une ACL standard (ou ajouter une règle à une ACL existante) est la
suivante :

access-list <#ACL> {permit/deny} <@IP source> <masque>

Le numéro de liste (#ACL) doit être compris entre 1 et 99 pour une ACL standard (tapez un ?
après la commande « access-list » pour visualiser toutes les fourchettes possibles en fonctions
des types d’ACL).
« Permit ou deny » indique l’action à prendre (deux seules actions sont possibles : autorisé ou
refusé)
L’IP source + masque indique la condition.

2/10
TP CISCO ACL SEN

2.3 Les ACL étendues

La syntaxe un peu plus complète des ACL étendues, permet, selon le même principe que
précédemment, de créer des règles de filtrage plus précises, en utilisant des conditions
applicables sur d’autres champs des en-têtes des divers protocoles.
La commande pour créer une ACL (ou ajouter une règle à une ACL existante) est la suivante :

access-list <#ACL> {permit/deny} <protocole> <@IPsource> <masque> [port] <@IPdest>

<masque> [port] [established]

Le numéro de liste (#ACL) doit être compris entre 100 et 199 pour une ACL étendue.
« Permit ou deny » indique l’action à prendre (deux seules actions sont possibles : autorisé ou
refusé)
« protocole » indique le protocole concerné par le filtre (tapez un ? pour avoir la liste des
protocoles disponibles) Les protocoles indiqués peuvent être de différents niveaux jusqu’au
niveau transport (ex : TCP ou UDP, mais également IP ou ICMP). La distinction sur les protocoles
applicatifs (http, FTP …) se fera sur le champ « port ».
IP et masques suivent les mêmes règles que pour les ACL standards,
« port » permet d’indiquer un numéro de port (ou son nom symbolique si il est connu http, FTP,
Telnet, …). Notez qu’un port doit être indiqué précédé d’un opérateur (ex : « eq http » ou « eq
80 » ou « lt 1024 ») avec « eq » (pour « equal »), « lt » (pour « lower than ») ou « gt » (pour
greater than), …
« established » indique qu’il s’agit d’une communication TCP déjà établie (et donc pas d’une
demande de connexion avec le bit « syn » positionné).

2.4 Remarques essentielles sur la syntaxe des ACL

• le masque est complètement inversé par rapport à la notion de masque que vous
connaissez jusqu’ici !!! (On parle de masque générique) ex : 193.55.221.0 avec le masque
0.0.0.255 désigne toute adresse source du type 193.55.221.X … merci Cisco !

3/10
TP CISCO ACL SEN
• Abréviations dans une règle :
0.0.0.0 255.255.255.255 qui signifie « tout équipement » peut être remplacé par le
mot clé « any ».
• W.X.Y.Z 0.0.0.0 qui signifie « l’équipement W.X.Y.Z » peut être remplacé par « host
W.X.Y.Z »
• Par défaut, la règle « deny any » est prise en compte par toutes les ACL. En d’autre
termes, le simple fait de créer une ACL vide et de l’appliquer à une interface interdit le
passage a tout datagramme. Pour changer de politique par défaut d’une ACL, il suffit de
mettre la règle « permit any » (ou « permit ip any any » pour les ACL étendues) en fin de
liste. Cette règle sera prise en compte si aucune des précédentes ne l’est.
• En mode « enabled » la commande « show access-list <#ACL> » vous permet de visualiser
(et donc de capturer le cas échéant …) le contenu de l’ACL dont vous donnez le numéro.

Exercice compléter le masque générique

Compléter le tableau ci-dessous :

4/10
TP CISCO ACL SEN
2.5 Activation d’une ACL
Pour activer une ACL sur une interface, il faut :
• Se positionner dans le mode de configuration de l’interface, grâce à la commande
« interface <nom de l’interface> »
• Saisir la commande : « ip access-group <#ACL> < in | out> ».
• N’oubliez pas de vous considérer « à l’intérieur du routeur », pour choisir entre le mot clé
« in » et le mot clé « out » …

2.6 Désactivation d’une ACL

Pour désactiver une ACL, (comme toujours selon la logique Cisco), les manipulations sont les
mêmes que pour l’activer, en utilisant le mot clé « no » devant la commande …

2.7 Utilisation des ACL standards et étendues dans la « vraie vie »

Dans la pratique, étant donné que les ACL standards ne peuvent prendre en compte que les
adresse IP sources, il est logique qu’elles soient souvent utilisées pour filtrer les datagrammes
proches de la destination finale, sur un passage « obligé » pour joindre le destinataire final.

5/10
TP CISCO ACL SEN
En revanche, les ACL étendues prenant aussi en compte les adresses destination, peuvent être
utilisées au contraire sur les routeurs les plus proches des équipements sources concernés, ceci
afin d’éviter du trafic superflu sur le réseau.

Exercices :
• activité packet tracer sur les ACL standarts
• activité packet tracer planification, configuration et verification des ACL standart,
étendues et nommées.

6/10
TP CISCO ACL SEN

3 MANIPULATIONS

3.1 Mise en place préliminaire

• Câblez correctement les éléments de votre réseau en respectant l’architecture proposée
(cf tp 6 routeurs) Activer le protocole de routage RIP version 2.
• Configurez les PC en conséquence (@IP, masque, passerelle, et DNS : 192.168.1.3 sur
chaque machine), sous Windows pour le PC relié au port console (PC de gauche), sous Linux
pour l’autre (PC de droite).
• Vérifier les accès à toutes les machines du réseau.

3.2 ACL Standards

Pour tout le TP il est demandé de conserver la politique « all open » par défaut, c'est-à-dire de
conserver la politique du « tout autoriser » et de n’interdire que le strict nécessaire. C’est loin
d’être la plus sûre, mais c’est celle qui permettra aux autres binômes de travailler,
• Depuis un terminal sur chacune des machines interne (PC sous Windows et sous Linux)
effectuez un PING sur « sv1mrim », Que constatez vous ?
• Cette machine est en mesure de répondre au moins aux services , http (port 80), ftp (port
21, entre autres), dns (port 53) et icmp bien sûr. Tester
• Créez une ACL standard permettant d’interdire tout accès du réseau « mrim » à vos PC
mais pas internet. Activez cette ACL sur les datagrammes « sortant » sur l’interface du
LAN. Vérifiez que le filtre fonctionne et que vous avez toujours accès à Internet.
Remarque : attention aux échanges DNS.
• Quelle règle auriez vous écrit maintenant pour interdire l’accès au réseau mrim à tous les
PCs de votre LAN SAUF le PC Linux (il n’y a pas de différence pour vous étant donné que
vous n’avez que 2 pc sur votre LAN, mais il en aurait eu une si vous en aviez eu 3 !). Créez
une autre ACL pour tester cette règle.
Faites valider les 2 ACL précédentes par votre enseignant.

3.3 ACL Etendues

• Créez une ACL étendue pour interdire au PC Windows de faire des « pings » sur le réseau
de mrim.
• Faites en sorte d’interdire tout trafic UDP à destination de sv1mrim depuis votre PC
Linux. Trouvez une manipulation pour valider ce filtre. Trouvez une manipulation pour
vérifier que le trafic est toujours autorisé sur une autre machine que sv1mrim (PC16 par
exemple).
• Interdisez le trafic web à tout votre réseau local.
• Allégez les restrictions en permettant uniquement à votre PC Windows d’accéder
uniquement au site web de sv1mrim.
• Mettez en place un filtre autorisant votre PC Linux à faire un telnet sur sv1mrim, mais pas
à sv1mrim de faire un telnet sur votre PC Linux.  Faites valider par votre enseignant.
Enregistrez les configurations.

7/10
TP CISCO ACL SEN
Consignes activité Packet tracer planification, configuration et verification des ACL
standart, étendues et nommées.
Objectifs
• Configurer une liste d’accès VTY pour assurer la sécurité de l’accès à distance
• Créer des listes de contrôle d’accès standard, étendues et nommées pour améliorer la
sécurité du réseau

Contexte / Préparation
L’atelier d’entretien du réseau nécessite un accès à un routeur installé récemment à Londres.
Vous devez configurer une liste de contrôle d’accès pour lui autoriser un accès Telnet au routeur
et refuser l’accès à tous les autres. Une liste d’accès supplémentaire doit être créée sur les
routeurs London et DC afin de remplir les conditions requises ci-après.
Autoriser l’accès de tous les clients London au serveur London et bloquer tous les autres
utilisateurs.
Autoriser l’accès de tous les clients au serveur DC et bloquer tous les autres utilisateurs.
Mot de passe actif : admin.

Étape 1 : création de liste d’accès pour limiter l’accès au VTY

a- Sélection du routeur London.
b- Configurez les lignes vty 0 à 4 pour la connexion. Le mot de passe doit être cisco123.
c- Créez une liste d’accès standard permettant un accès Telnet à tous les clients du sous-réseau
de maintenance.
1- Numéro de la liste d’accès : 10.
2- Sous-réseau de maintenance : 172.16.50.0 255.255.255.0.

d- Appliquez la liste d’accès aux lignes vty 0 à 4.

1- Entrez dans le mode de configuration.
2- Entrez line vty 0 4
3- Entrez access-class 10 in

e- Enregistrez les configurations.

8/10
TP CISCO ACL SEN

Étape 2 : création de liste d’accès étendue sur le routeur DC

Planification et création de listes d’accès numérotées sur le routeur DC suivant les conditions
requises ci-après.

a- Créer une liste d’accès sortante numérotée 150 et l’appliquer à l’interface Fast Ethernet 0/1.1
b- Créer une liste d’accès sortant numérotée 160 et l’appliquer à l’interface Fast Ethernet 0/1.2

Étape 3 : création d’une liste d’accès nommée sur le routeur London

a- Planification et création d’une liste d’accès nommée sur le routeur London suivant les
conditions requises ci-après. Nommez la liste d’accès ICMP.

b-Appliquez la liste d’accès à l’interface série comme une liste d’accès entrant.
c- Enregistrez les configurations.

Étape 4 : vérification des listes d’accès configurées

a- Vérification des restrictions applicables aux vty placés sur le routeur London.
1- Sélectionnez le PC Maint et le Telnet du routeur London.
2- Sélectionnez le PC2 et le Telnet du routeur London.
Le Telnet du PC Maint devrait aboutir contrairement à celui du PC2.
b- Vérifiez la liste d’accès étendue du routeur DC .
1- Sélectionnez le PC2 et recherchez le serveur DC (172.16.30.100).
2- Envoyez une requête ping au serveur DC (172.16.30.100).
3- Sélectionnez le PC1 et recherchez le serveur London (172.16.20.100).
4-Envoyez une requête ping au serveur London (172.16.30.100).
La navigation aboutit contrairement à la commande ping.

9/10
TP CISCO ACL SEN
c- Vérifiez la liste d’accès nommée du routeur London .
1- Sélectionnez le PC2 et envoyez une requête ping au PC1.
2- Naviguez du PC2 au Server0 (172.16.100.250).

La commande ping aboutit contrairement à la navigation qui dépasse son délai d’attente.
d- Cliquez sur le bouton Check Results

Remarques générales :
• que signifie le terme « out » en fin de ligne d’un énoncé d’une commande ip access-group ?
• Quelle est la différence entre les commandes d’ajout d’une liste de contrôle d’accès sur
une interface spécifique et le VTY ?

Quelle est la différence entre les commandes d’ajout d’une liste de contrôle d’accès sur une
interface spécifique et le VTY ?

10/10